Empêcher les utilisateurs de Sudo de passer à un autre utilisateur sans le mot de passe des utilisateurs cibles?

Question

Désolé si le titre est ambigu, cependant, je suis assez nouveau pour Ubuntu, mais je viens de mettre en place un serveur Web qui l’exécute avec un groupe de "développeurs" qui sont tous des Sudo.

Pour le moment, les utilisateurs ne peuvent se connecter via SSH qu'avec une clé liée à leur compte. Mais user1 pourrait simplement faire:

Sudo su - user2

Et agissez en tant qu'utilisateur2 sans mot de passe. Y at-il un moyen de forcer le même comportement que

su - user2

qui nécessitera réellement le mot de passe de l'utilisateur2? Sinon, suivre les commandes de chaque utilisateur pour voir qui a fait ce qui est un peu inutile.

Merci!

muru · Accepted Answer

Pour empêcher le changement d'utilisateur par Sudo su -, vous devez désactiver la capacité de root à su pour tout utilisateur. Éditez /etc/pam.d/su et commentez cette ligne:

auth sufficient pam_rootok.so

Comme le commentaire ci-dessus dans /etc/pam.d/su indique, cela permet à root de su sans mot de passe.

Vous pouvez également restreindre l'utilisation de Sudo à un ensemble limité de commandes n'incluant pas su et forcer le changement d'utilisateur par Sudo -i -u/Sudo -s -u, et activer l'option targetpw dans sudoers.

pthayer · Answer

Les privilèges Sudo ne devraient être accordés qu'à ceux qui pourraient avoir besoin d'administrer la machine elle-même. D'autres privilèges peuvent être gérés via des groupes et des privilèges de groupe. Par exemple, ajoutez l'utilisateur nommé 'developer1' au groupe www-data:

Sudo usermod -a -G www-data developer1

Ceci ajoutera 'developer1' au groupe www-data d'Apache.

Sudo chgrp -R www-data /var/www

Veillera à ce que tous les fichiers et répertoires de/var/www appartiennent au groupe 'www-data'.

Sudo chmod -R g+w /var/www

Veillera à ce que le groupe ait un accès en écriture à tous les fichiers de/var/www

http://www.cyberciti.biz/faq/ubuntu-add-user-to-group-www-data/